Miteru es una herramienta experimental de detección de phishing.
Cómo Funciona
Recoge URLs phishy de las siguientes feeds:
- CertStream-Suspicious feed via urlscan.io
- OpenPhish feed via urlscan.io
- PhishTank feed via urlscan.io
- URLhaus feed via urlscan.io
- urlscan.io phish feed (disponible para usuarios Pro)
- Ayashige feed
- Phishing Database feed
- PhishStats feed
Comprueba cada URL phishy si habilita el listado de directorios y contiene un kit de phishing (archivo comprimido) o no.
Nota: archivo comprimido = *.zip, *.rar, *.7z, *.tar y *.gz.
Características
- Detección y recolección de kit de phishing.
- Notificación Slack.
- Threading.
Instalación
gem install miteru
Uso
$ miteru
Commands:
miteru execute # Execute the crawler
miteru help [COMMAND] # Describe available commands or one specific command
$ miteru help execute
Usage: miteru execute
Options:
[--auto-download], [--no-auto-download] # Enable or disable auto-download of phishing kits
[--ayashige], [--no-ayashige] # Enable or disable ayashige(ninoseki/ayashige) feed
[--directory-traveling], [--no-directory-traveling] # Enable or disable directory traveling
[--download-to=DOWNLOAD_TO] # Directory to download file(s) # Default: /tmp
[--post-to-slack], [--no-post-to-slack] # Post a message to Slack if it detects a phishing kit
[--size=N] # Number of urlscan.io's results. (Max: 10,000) # Default: 100
[--threads=N] # Number of threads to use
[--verbose], [--no-verbose] # Default: true
Execute the crawler
$ miteru execute ...
https://dummy1.com: it doesn't contain a phishing kit.
https://dummy2.com: it doesn't contain a phishing kit.
https://dummy3.com: it doesn't contain a phishing kit.
https://dummy4.com: it might contain a phishing kit (dummy.zip).
Usando Docker (alternativa si no instalas Ruby)
$ docker pull ninoseki/miteru
# ex. auto-download detected phishing kit(s) into host machines's /tmp directory
$ docker run --rm -v /tmp:/tmp ninoseki/miteru execute --auto-download
Configuración
Para usar la función –post-to-slack, debes establecer las siguientes variables de entorno:
SLACK_WEBHOOK_URL
: Tu URL de Slack Webhook.SLACK_CHANNEL
: Canal de Slack para publicar un mensaje (por defecto: “#general”).
Si eres un usuario de urlscan.io Pro, establece tu clave de API como una variable de entorno URLSCAN_API_KEY
.
Esto te permite suscribirse al feed de phish de urlscan.io.
Ejemplos
Aasciinema
Notificación Slack
![Notificación vía Slack](https://esgeeks.com/wp-content/uploads/2020/10/Notificacion-via-Slack.png)
Alternativas
miteru (este enlace se abre en una nueva ventana) por ninoseki (este enlace se abre en una nueva ventana)
A phishing kit collector for scavengers